Im nachfolgenden Überblick möchten wir diese Fragen klären.
1. Wann hat ein Privatunternehmen einen Datenschutzbeauftragten zu bestellen?
Hierauf gibt § 4f Abs. 1 BDSG eine Antwort:
„...nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. ...
Die(s gilt) nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen..."
Das bedeutet, dass alle Privatunternehmen, die personenbezogene Daten mittels EDV-System verarbeiten und mit der Verarbeitung zehn oder mehr Personen betrauen, einen Datenschutzbeauftragten bestellen müssen.
Der Begriff der „personenbezogenen Daten" meint hierbei die Einzelangaben, die z.B. Kunden oder Mitarbeiter über ihre persönlichen und/oder sachlichen Verhältnisse zur Verfügung stellen.
Bei der Berechnung der Anzahl der Mitarbeiter, welche mit der Verarbeitung von personenbezogenen Daten betraut sind, werden auch die Mitarbeiter berücksichtigt, welche nicht ständig und hauptsächlich Datenverarbeitungsaufgaben wahrnehmen, so dass nicht nur eigene Angestellte und Vollzeitkräfte, sondern auch Teilzeitkräfte, freie Mitarbeiter, Zeitarbeiter, Praktikanten oder Auszubildende etc. mitgezählt werden müssen, wenn sie zeitweise Datenverarbeitungsaufgaben wahrnehmen.
Aber: Unternehmen, die Meinungs-, Marktforschung oder auch Adresshandel zum Gegenstand haben, müssen unabhängig von der Anzahl der Personen, die mit der Datenerhebung befasst sind, immer einen Datenschutzbeauftragten bestellen – die Neun-Personen-Grenze gilt hier nicht.
2. Wer darf zum Datenschutzbeauftragten bestellt werden?
Auch hierauf gibt das BDSG in § 4 f Abs. 2 eine Antwort:
„... Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.
Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden..."
Der Datenschutzbeauftragte hat – verkürzt gesagt – die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben aus dem BDSG, Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) etc. hinzuwirken sowie die gesetzmäßige Nutzung von EDV-Programmen im Unternehmen zu kontrollieren und zu überwachen.
Die Unternehmensleitung muss die hierfür am besten geeignete Person heraussuchen. Es handelt sich hierbei um eine Einzelfallentscheidung, die maßgeblich auch vom jeweiligen Unternehmensgegenstand abhängt – folgende Punkte müssen aber immer berücksichtigt werden:
- Zum Datenschutzbeauftragten kann entweder ein eigener Mitarbeiter bestellt werden (= interner Datenschutzbeauftragter) oder auch eine Person, die außerhalb der Unternehmung steht (= externer Datenschutzbeauftragter).
- Aber: Der Datenschutzbeauftragte darf nicht Teil der Unternehmensleitung sein – dahinter steckt der Gedanke der gegenseitigen Kontrolle. Der Datenschutzbeauftragte ist in seiner Funktion der Geschäftsleitung unmittelbar unterstellt. Er agiert bei der Wahrnehmung seiner Aufgabe als Datenschutzbeauftragter aber weisungsfrei.
- Der Mitarbeiter, welcher zum Datenschutzbeauftragten bestellt wird, muss über die erforderliche Fach- und Sachkunde im Datenschutzrecht verfügen und sich durch Zuverlässigkeit auszeichnen.
3. Welche Rechte und Pflichten hat der Datenschutzbeauftragte?
Der Datenschutzbeauftragte hat zunächst die Pflicht, sich auf dem Gebiet des Datenschutzrechts sowie der datenverarbeitenden Technologien weiterzubilden. Die Verarbeitungstechnologien entwickeln sich mit rasender Geschwindigkeit weiter, daher muss auch der Datenschutzbeauftragte auf dem „neusten Stand bleiben", um seine Aufgabe effektiv und zuverlässig erledigen zu können.
Die Unternehmensleitung muss dem Datenschutzbeauftragten damit korrespondierend die Teilnahme an Fort- und Weiterbildungsveranstaltungen ermöglichen und deren Kosten tragen.
Der Datenschutzbeauftragte ist per Gesetz zur Verschwiegenheit verpflichtet.
Eine weitere Besonderheit ist der zusätzliche Kündigungsschutz des internen Datenschutzbeauftragten:
Der interne Datenschutzbeauftragte kann nicht aus dem Arbeitsverhältnis im Wege der ordentlichen Kündigung entlassen werden, solange er zum Datenschutzbeauftragten bestellt ist – das Recht zur außerordentlichen Kündigung besteht jedoch weiterhin. Dieser besondere Kündigungsschutz dauert nach der Abberufung des Mitarbeiters von der Position als Datenschutzbeauftragter ein Jahr fort.
4. Folgen der Nichtbestellung
Auch in der Phase der Unternehmensgründung ist es empfehlenswert – trotz der Vielzahl von wirtschaftlichen, rechtlichen und organisatorischen Fragestellungen, die in der Gründungsphase fast gleichzeitig beantwortet werden wollen – möglichst frühzeitig zu prüfen, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist.
Negiert man diese bestehende Verpflichtung, droht nicht nur ein (u. U. kostspieliges) Bußgeldverfahren seitens der Datenschutzaufsichtsbehörden, sondern auch die Einbuße von Kundenvertrauen.
Kommentar schreiben